Tous les articles par dans Vanessa Gendrin

Être sûr de relire ses données numériques dans 10 ans

Aujourd’hui beaucoup de documents sont archivés et conservés numériquement. Des doutes subsistent sur la durabilité du support numérique. «Pourrrais-je relire mes documents dans 10 ans ?» est une question récurrente. Tentons d’y répondre simplement.

Avant toute chose, il est important d’avoir identifié les documents que l’entreprise doit conserver avec leurs durées de conservation. Ensuite les trucs et astuces ne manquent pas mais voici 3 points qui me paraissent essentiels notamment pour anticiper les sinistres :

1. archiver les données numériques dans des formats d’archivage non modifiables comme le PDF pour qu’elles restent intègres et conservent leur valeur probante ;

2. si les documents archivés sont stockés sur un serveur, avoir toujours un deuxième espace d’hébergement : soit par l’acquisition d’un deuxième serveur stocké dans un endroit éloigné de l’espace quotidien de travail, soit en faisant appel à un hébergement externalisé (cloud computing) ;

3. si les données numériques sont stockées sur CD et que leur durée de conservation est plus longue que la durée de vie du CD (5 ans en moyenne), dupliquer les données tous les 2 ans sur un nouveau CD et vérifier les 1 fois par an. Graver les données sur des CD de bonne qualité (« qualité archivage » à long terme ou « à usage médical » ou « qualité professionnelle) et ne dépassez pas la vitesse de gravure 12X.

Cybercriminalité : analyser la valeur des données et mieux se défendre

Toute politique de conservation ou de sécurité doit partir d’une analyse de la valeur des données. C’est ce qui nous a été démontré dans une conférence donnée au Musée des Transmisions de Rennes sur la cybercriminalité.

J’ai assisté hier soir à la conférence organisée par le CIDAN* « Réseaux et systèmes d’information dans les entreprises, les administrations et les collectivités : quelles menaces, quelles parades » par le capitaine Yohan Dubanchet, professeur à l’école des Transmissions de Rennes.

L’exposé, clair et synthétique, a permis aux participants d’être sensibilisés aux menaces qui pèsent sur nos systèmes d’information et d’être informés des principaux outils de prévention à mettre en œuvre. Car l’enjeu est de taille : les réseaux et systèmes d’information sont devenus les centres nerveux de nos sociétés.

Après avoir montrer la difficulté d’identifier les menaces et nous avoir fait réfléchir sur les risques liés au cloud computing, le capitaine Dubanchet a conclu son intervention en rappelant que « les données sont le cœur du système : c’est à l’organisme (entreprise, institution) qu’il revient d’en déterminer la valeur pour que la technique puisse les sanctuariser ». Ce principe est absolument fondamental : l’analyse de la valeur des informations, de leur criticité, de leur sensibilité doit être au cœur de toute réflexion touchant au système d’information (externalisation de l’hébergement, choix des système de sécurité, dématérialisation) car nous sommes à la croisée des chemins : la technique ne pourra pas tout devant les nouvelles menaces et l’inflation documentaire. Rationalisons  notre  production documentaire (coupons le robinet : voir mon précédent article sur les usages), identifions les documents vitaux, réapproprions nous les bonnes pratiques. : alors une politique de sécurité responsable pourra être mise en œuvre. Ne croyez-vous pas ?

*Le CIDAN est l’association Civisme Défense Armée Nation, www.cidan.org

Vous irez leur apporter des oranges !

Quel est le risque aujourd’hui de ne pas bien conserver les documents importants de l’entreprise ou de l’institution publique ? Le club des responsables de politiques et projets d’archivage y répond par une affiche audacieuse sur laquelle on voit un homme costumé, les poignets menottés et le slogan : « Vol à main armée, coups et blessures ? Non, défaut d’archivage ! ».

Je constate en effet tous les jours à quel point les dirigeants (chefs d’entreprises, dirigeants salariés et élus) n’ont pas conscience de la gravité des conséquences que peut avoir la perte de documents ou de données importantes.

En mesurent-il simplement le risque ? La conservation des documents ? La maîtrise de l’archivage ? Pfff… Cette question reçoit généralement une réponse logistique : on paie une prestation de stockage sur des rayonnages ou de sauvegarde sur des serveurs extérieurs.

Quel dirigeant pense que se soucier de la qualité des documents et données produits, de leur classement adéquat, de leur support de conservation, des droits et des risques qui y sont attachés, leur permettra de gagner un procès, de ne pas se voir infliger une amende, de gagner du temps, de valoriser le savoir-faire de l’entreprise.

Très peu l’évaluent. En revanche, j’ai remarqué que les cadres intermédiaires ou les collaborateurs opérationnels en ont parfaitement conscience. Ils connaissent ce temps perdu à chercher des documents, cet argent gaspillé à reconstituer une information, ce risque de ne pas être en mesure de prouver la bonne foi de l’entreprise ou de l’institution en cas d’accident ou d’audit. Posez-leur la question ? Ils répondent : « Le risque ou le temps perdu existe mais les dirigeants s’en fichent, ce n’est pas une priorité ». Ce à quoi je leur dis (avec une pointe de provocation en songeant à cette affiche du CR2PA) : « Eh bien, vous irez leur apporter des oranges ! ».

Organiser l’archivage des documents importants, maîtriser leur conservation pendant le temps nécessaire permet de pérenniser l’activité de l’entreprise et garantir la continuité du service public d’une institution. Engager une telle démarche est une décision qui appartient aux dirigeants et à eux seuls.

Articles sur les risques liés à la mauvaise maîtrise de  la conservation des documents importants de l’entreprise :

– L’agence Sygma a déposé le bilan après avoir perdu des photographies

– Détruire des données personnelles : 6 conseils d’ami

– Cybercriminalité : analyser la valeur de ses données pour mieux se défendre

– Dossiers médicaux :  la responsabilité des médecins dans l’affaire du Médiator

Ne pas commencer par le tri des archives existantes

On confond souvent mise en place d’un projet d’archivage et tri des archives existantes (les archivistes parlent d’arriéré). Or prioriser le tri du stock des archives existantes dans un projet d’archivage est une erreur. Pourquoi ?

1. le ratio temps passé/mètre linéaires gagnés n’est pas rentable ;

2.  l’objectif, qui est de mettre en sécurité tous les documents engageants n’est pas atteint car le flux n’est pas maîtrisé ;

3. le résultat «fait joli» (un bel alignement de boîtes ou de répertoires informatiques) mais un nouveau stock se reformera et l’opération sera à refaire cinq ans plus tard. Joli gaspillage !

Traiter  d’abord l’existant, c’est mettre la charrue avant les bœufs, c’est faire le «comment ?» avant  le «quoi ?».

Il faut au préalable écrire ce que l’on va faire (le «quoi ?»), dans un référentiel de conservation, qui détermine :

–       quels documents doivent être produits, archivés et conservés ?

–       combien de temps – en fonction de critères juridiques et des besoins informationnels – doivent-ils être conservés avant leur destruction ou leur archivage historique ?

–       sur quel support ? La question mérite d’être posée en ces temps de dématérialisation forcenée.

–       qui archive ? Toutes personnes qui produit et reçoit des documents

–       etc.

Répondre à ces questions permet de déterminer toute la stratégie de conservation à venir et permet aussi de trier efficacement le stock des archives existantes.

Comme dirais un maître célèbre : le référentiel de conservation, élaborer, tu dois !

Pour en savoir plus sur la méthode à suivre pour développer un projet d’archivage, lire :

– Pourquoi structurer son archivage avec un référentiel de conservation ?

– Qui archive les documents ? 

– Pourquoi faire du tri de documents est contre-productif ?

Fiche A1 / Quelques repères sur le cloud computing

Concept marketing, progrès technologique ou porte ouverte à l’insécurité juridique ? Cet entretien de Maître Bernard Lamon (avocat spécialiste en droit de l’informatique et des télécommunications), par une approche didactique et des exemples parlants, pose les bonnes questions et fait ressortir, les principaux enjeux du cloud computing.

D’entrée, Maître Lamon reconnaît que le cloud, malgré son côté « marketing » est un réel progrès technique et économique.  Cependant, son but est faire prendre conscience aux entreprises que ce progrès n’est pas exempt d’une certaine insécurité juridique. Il insiste notamment sur la nécessité de consulter attentivement les contrats et les annexes de qualité de service (ou level service agreement) avant de signer quoique ce soit. Je le rejoins particulièrement quand il met en garde sur la valeur des données concernées par des prestations de cloud : plus les données sont stratégiques, plus la prudence est de rigueur. Le chef d’entreprise ou le décideur doit alors penser « durée de contrat », « réversibilité », « récupération des données » et coût évidemment. Car les prix du cloud montent singulièrement quand l’entreprise doit faire face à des problèmes.

Aussi la posture de Maître Lamon est intéressante car, tout en encourageant les entreprises à se doter d’outils informatiques performants, il invite leurs dirigeants à se poser les bonnes questions : quels sont les besoins de l’entreprise en terme de sécurité, quels sont ses intérêts et ceux de ses clients, quels sont les obligations légales, quelles lois s’appliquent au prestataire de cloud computing ?

Beaucoup de sujets sont traités dans cet entretien : présentation du marché, cloud souverain à la française, assurance des prestations informatiques, contentieux informatiques, Patriot Act, etc…. Et comme tout le monde, j’en retiens surtout la fin quand l’avocat dit qu’il préfère agir préventivement pour ses clients plutôt que de « jouer » le pompier quand le problème arrive et qu’il doit plaider leur cause devant un juge. Anticiper, n’est-ce pas toujours le meilleur des investissements !

Les risques de perdre des données vous font peur ! Pour vous rassurer (ou pas…), lisez :

–       Cybercriminalité : analyser la valeur de ses données pour mieux se défendre

Pérenniser le capital informationnel d’une entreprise

L’un des objectifs majeurs d’une démarche d’archivage est de préserver les savoirs et les connaissances de l’entreprise au-delà des changements conjoncturels.

Un des gammes de soin pour le visage d’Yves Saint Laurent est le résultat des recherches faites par le docteur Bernard en glycobiologie, il y a quarante ans. Qui pense aujourd’hui que la préservation des documents de recherche peut rapporter demain des millions d’euros ? L’Oréal, entreprise centenaire, sait qu’en misant sur l’innovation (pour gagner de nouveaux marchés), elle doit veiller à capitaliser les savoirs et les connaissances apportés par les hommes et les femmes qui se succèdent dans l’entreprise. C’est pourquoi, elle considère sa politique de conservation documentaire (data policy retention) comme un élément stratégique de son organisation.

Pourtant quelle entreprise ne considère pas ses documents – mails, répertoires, fichiers, dossiers, boîtes – comme des volumes avant tout encombrants ? Alors que beaucoup sont conservés inutilement, d’autres au contraire sont dotés d’une « forte valeur ajoutée » auxquels l’entreprise doit porter toute son attention. Car ces informations sont une source potentielle de richesse ! En ces temps économiques difficiles, préserver les savoirs et les connaissances d’une entreprise par une politique documentaire semble être un choix légitime.

Lire sur le même sujet :

– L’entreprise Sygma a déposé le bilan…après avoir perdu des photographies

– Si on conserve tout, on n’archive rien

Donner une valeur probante aux documents numériques

Pour avoir confiance dans un document papier, il doit contenir un minimum d’éléments qui sont : l’auteur (un nom, un logo), la date, l’objet (un titre ou un en-tête), le destinataire et les éléments de contenus qui justifient ou tracent l’activité, l’échange… Le document n’a pas forcément besoin d’être signé pour gagner la confiance d’un tiers, c’es la cas des factures. A ceci-près que les factures contiennent toujours un numéro d’enregistrement qui renforce sa valeur probante, car il induit leur rattachement à un processus comptable de nature à consolider son authenticité et sa véracité. Or dans l’environnement numérique, il est nécessaire de bien renforcer l’authenticité des écrits numériques, réputés plus vulnérables (art. 1316-1 du code civil), par des bonnes pratiques administratives :

  1. maintenir un certain formalisme dans la rédaction des documents numériques : auteur, date, objet signifiant, destinataire, logo ;
  2. attribuer aux documents un numéro qui se réfère à un tableau d’enregistrement. Par exemple, ce qui existe pour le courrier papier doit aussi exister pour les mails engageants ou les rapports de synthèse ;
  3. de figer les documents (ou les données) et le tableau d’enregistrement dans un format PDF ;
  4. d’y associer un système d’horodatage ou de signature électronique pour les documents juridiquement les plus sensibles ;

Il est important de prévoir ce processus pour tous les contenus numériques qui engagent la responsabilité de l’entreprise ou tracent son savoir-faire, afin de lui permettre de disposer, pendant la durée de conservation nécessaire, d’informations numériques fiables et opposables.

Détruire des documents archivés

Les entreprises et institutions conservent trop de documents inutiles. Pourquoi ? Parce qu’elles ont peur de les détruire : «Ça peut toujours servir»… «On ne sait jamais», toutes les raisons sont bonnes pour ne rien faire mais à trop conserver, cela finit par coûter cher. Quelques repère pour franchir le pas en toute responsabilité.

1. Pour calculer la date de destruction de vos données et documents, réfléchir d’abord à leurs durées de conservation à partir :

  • des obligations légales et réglementaires des activités de l’organisme(article : Durées de conservation)
  • des besoins métiers de l’organismes et de ses collaborateurs : besoins de mémoire, besoins de transmission des savoirs, …

2. Écrire ces durées dans un référentiel, c’est l’outil de calcul des durées de conservation

3. Calculer les dates de destruction et les INSCRIRE sur les boîtes, dossiers, répertoires…

4. Une fois par an :

  • préparer la destruction des documents périmés en remplissant un tableau succinct ; ce tableau est une obligation pour les organismes publics, ça s’appelle un bordereau de destruction. Voici un modèle indicatif.
  • détruire les documents (papier, CD) à l’aide d’un destructeur qui garantisse un minimum de confidentialité (voir l’article sur la destruction des données personnelles)

Si les données ou documents sont stockés chez un prestataire extérieur, prévoyez ces mêmes modalités de destruction dans votre contrat de prestation.

Dernière recommandation, écrire la procédure de destruction dans un document synthétique, cela sert à tous les collaborateurs, ceux d’aujourd’hui et de demain.